Pas op voor deze nieuwe Android-malware

Malware op Android
© iStock / Tero Vesalainen
Beveiligingsonderzoekers hebben Android-malware ontdekt die inloggegevens kan stelen van foto's. De malware gebruikt hiervoor OCR-software die we kennen uit PDF-apps.

Specifiek werden twee typen malware ontdekt door Trend Micro: CherryBlos en FakeTrade. Beiden worden gebruikt voor het stelen van gevoelige gegevens van nietsvermoedende gebruikers. Volgens de beveiligingsonderzoekers werkt de malware met zogenaamde ‘OCR’-software. Zulke software kan letters ontcijferen uit afbeeldingen. Google Lens maakt daar bijvoorbeeld van gebruikt om tekst uit videobeelden op te nemen en te verwerken.

De recent ontdekte malware weet diezelfde software nu in te zetten om gegevens van gebruikers te stelen. Het proces is daarbij relatief gemakkelijk; de apps vragen na installatie toegang tot de galerij van gebruikers en scannen de foto’s vervolgens met OCR-software. Alle tekst die de software weet te achterhalen wordt doorgestuurd naar de criminelen. Het kan dus zomaar gaan om inloggegevens of andere gevoelige teksten.

Trend Micro wist van een viertal apps te achterhalen dat ze met de malware zijn geïnfecteerd. Het gaat volgens de onderzoekers steeds om apps die niet in de Google Play Store staan. Specifiek gaat het om: GPTalk, Happy Minder, Robot999 en SynthNet. Wel achterhaalde de onderzoekers zo’n 30 Play Store-apps met vergelijkbare aanvalstechnieken, incluis de eerdergenoemde Synthnet-app.

Misbruik toegankelijkheidsmodus

CherryBlos werkt ook niet alleen via OCR, maar misbruikt ook Androids toegankelijkheidsfuncties. Hiervoor wordt bij de eerste start van de app toegang gevraagd. Vervolgens wordt deze toegang misbruikt om te herkennen wanneer gebruikers een cryptocurrency-applicatie openen. Zodra het systeem een app herkent, wordt een neppe interface geladen. Die interface wordt ‘voor de echte’ inlogpagina geplaatst in de hoop dat men daar hun inloggegevens invult.

Bovendien kan de malware het transactieadres bij ondersteunde cryptocurrencydiensten wijzigen. Zo sturen gebruikers hun cryptomunten naar de wallet van de criminelen, zonder dat ze dit voor het afronden van de transactie doorhebben.

Uitgelicht artikel Malware op Android Nieuwe trojan teistert honderdduizenden Android-gebruikers

Installeer niet elke app

Het spreekt voor zich dat gebruikers best niet zomaar elke app installeren. Aangeraden wordt om steeds te controleren of een app van betrouwbare bronnen afkomstig is. Dit controleer je door de uitgever van een app te controleren. Ook geven de reviews van een app vaak weg of de app al dan niet betrouwbaar is.

Installeer ten slotte niet zomaar apps van buiten de Play Store. Veel Android-malware die we het voorbije jaar hebben zien langskomen, komt van apps buiten de Google Play Store. Die moet je vaak als losse APK installeren.

AndroidBeveiligingmalwaremobiel

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken